О том, что сотрудников кредитных организаций стали вербовать под предлогом релокации, рассказали «Известиям» два источника на банковском рынке. Один из них отметил, что инсайдеров покупали всегда, но предложение релокации — это новшество.
Другой источник в крупном банке подтвердил, что подобные предложения встречаются в даркнете, предупредив, что сотрудники таких организаций могут согласиться и предоставить доступ к данным организации в обмен на релокацию. Нужно усилить контроль за поведением работников, подчеркнул он.
«Известия» направили запрос в крупнейшие российские банки.
Эту информацию «Известиям» также подтвердил директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков. По его словам, инсайдеров в банках, которых собираются завербовать для получения конфиденциальных сведений о работе кредитной организации или для участия в кибератаке на нее, стали заманивать релокацией в западные страны. Эксперт уточнил, что такие предложения встречаются в хакерских Telegram-каналах. Помимо помощи с переездом россиянам также предлагают оформление паспортов других государств.
— Хакеры работают «по потребности». Они формируют вознаграждение в том формате, в котором оно может быть интересно соискателю, — отметил Владимир Дрюков.
По его словам, в 2022 году возникали случаи, когда инсайдеры принимали участие в атаках на банки, и это приводило к успешному развитию хакерской атаки. Однако трудно сказать, какого рода вознаграждение им было обещано и что они получили. Размещать подобные предложения могут как отдельные хакеры, так и профессиональные группировки разной мотивации и принадлежности.
Кроме того, важно, что в этом году в целом изменился ландшафт киберугроз, подчеркнул эксперт. Если раньше теневые действия злоумышленников были коммерциализованы и хорошо монетизировались, то начиная с марта основной целью стало нанесение наибольшего вреда российским компаниям. Огромное количество инструментов для совершения атак и всевозможных баз слитой информации было выложено в открытый доступ с комментариями, предлагающими воспользоваться данными для нанесения ущерба.
— Также цель многих атак — получение списков сотрудников с должностями, аккаунтами, контактными данными. Это нужно для дальнейшего использования в задачах социальной инженерии. При солидном вознаграждении для части внутренних сотрудников продажа такой информации — большое искушение, — пояснил Владимир Дрюков.
Предложение с вербовкой банковских инсайдеров под предлогом релокации в западные страны в Telegram-каналах также встречал основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Он рассказал «Известиям», что на теневых форумах таких предложений мало, так как более или менее профессиональным злоумышленникам подобная эмиграция неинтересна.
— Такие предложения размещают в основном украинские хактивисты, которые в принципе генерируют много странного контента. Западным хакерам вряд ли интересен доступ к российским банкам, так как вывести средства из них сейчас крайне трудно, — полагает Ашот Оганесян.
В ЦБ сообщили «Известиям», что в нормативных документах установлены требования к банкам и некредитным финансовым организациям по обеспечению информационной безопасности. Они предписывают внедрение многоступенчатой системы защиты чувствительных данных, а перечень сотрудников, имеющих доступ к ней, должен быть строго ограничен, подчеркнули в регуляторе.
Разумеется, предложение релокации — это лишь приманка, заявил директор технического департамента RTM Group Федор Музалевский. Он подчеркнул: стоимость базы, которая утекает к злоумышленникам, как правило, существенно ниже той суммы, которая потребуется для организации переезда по всем правилам.
— За время расследования подобных инцидентов установлено, что инсайдеры получают лишь незначительные суммы в денежном эквиваленте, а в каждом пятом случае злоумышленники вообще сдают их службам безопасности. Исключение могут составлять кейсы, когда речь идет о необходимости организовать направленную дорогостоящую атаку на конкретного клиента (или клиентов) банка, и договариваются тогда уже не с рядовыми сотрудниками, — отметил Федор Музалевский.
Инсайдеров могут вербовать для получения баз, чтобы прозванивать клиентов, или доступа к данным организации, пояснил руководитель отдела анализа и оценки цифровых угроз Infosecurity a Softline Company Константин Мельников. Он уточнил: хакеры готовы платить деньги за нужную информацию или возможность попасть в систему компании, если самостоятельно это сделать не получается.
Наталья Ильина